Tietoja Safari 5.0.1:n ja Safari 4.1.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 5.0.1:n ja Safari 4.1.1:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Safari 5.0.1 ja Safari 4.1.1

  • Safari

    • CVE-ID: CVE-2010-1778

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: haitallisen RSS-syötteen käyttäminen saattoi aiheuttaa tiedostojen lähettämisen käyttäjän järjestelmästä etäpalvelimelle.

    • Kuvaus: Safarin RSS-syötteiden käsittelyssä on sivustojen välinen komentosarjaongelma. Haitallisen RSS-syötteen käyttäminen saattoi aiheuttaa tiedostojen lähettämisen käyttäjän järjestelmästä etäpalvelimelle. Tämä ongelma on ratkaistu parantamalla RSS-syötteiden käsittelyä. Kiitokset Google Security Teamin Billy Riosille tämän ongelman ilmoittamisesta.

  • Safari

    • CVE-ID: CVE-2010-1796

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Safarin automaattisen täytön ominaisuus saattaa paljastaa tietoja verkkosivustoille ilman käyttäjän toimia.

    • Kuvaus: Safarin automaattisen täytön ominaisuus voi täyttää verkkolomakkeita automaattisesti käyttämällä Mac OS X:n osoitekirjan, Outlookin tai Windowsin osoitekirjan tiettyjä tietoja. Automaattinen täyttötoiminto on suunniteltu siten, että verkkolomakkeiden täyttäminen edellyttää käyttäjän toimia. Toteutusongelman takia haitallinen sivusto saattoi käynnistää automaattisen täyttötoiminnon ilman käyttäjän toimia. Tämä saattoi paljastaa käyttäjän Osoitekirja-kortin sisältämiä tietoja. Ongelman käynnistyminen edellytti seuraavia kahta tilannetta. ”Täytä verkkolomakkeet automaattisesti käyttämällä Osoitekirja-kortin tietoja” -valintaruutu on valittu Safarin asetusten Automaattinen täyttö -kohdassa. Käyttäjän Osoitekirjassa on kortti, joka on määritetty Omaksi kortiksi. Automaattinen täyttötoiminto käyttää vain tämän kortin tietoja. Tämä ongelma on ratkaistu estämällä automaattista täyttötoimintoa käyttämästä tietoja ilman käyttäjän toimia. Ongelma ei koske iOS-laitteita. Kiitos WhiteHat Securityn Jeremiah Grossmanille ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1780

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin elementtien kohdistuksen käsittelyssä on use-after-free-ongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parantamalla elementtien kohdistuksen käsittelyä. Kiitos Tony Changille (Google Inc.) tämän ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1782

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä sisäisiä elementtejä oli muistinvioittumisongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta. Kiitokset wushille (team509) ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1783

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä dynaamisia muutoksia tekstisolmuihin oli muistin vioittumisongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parantamalla muistin hallintaa.

  • WebKit

    • CVE-ID: CVE-2010-1784

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä CSS-laskureita oli muistinvioittumisongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parantamalla muistin hallintaa. Kiitos TippingPointin Zero Day Initiative -ohjelman parissa työskentelevälle wushille (team509) ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1785

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä SVG-tekstielementtien :first-letter- ja :first-line-pseudoelementtejä oli alustamattomaan muistiin liittyvä käyttöoikeusongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu jättämällä SVG-tekstielementeissä olevat :first-letter- tai :first-line-pseudoelementit mallintamatta. Kiitos TippingPointin Zero Day Initiative -ohjelman parissa työskentelevälle wushille (team509) ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1786

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä SVG-dokumenttien foreignObject-elementtejä oli use-after-free-ongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu SVG-dokumenttien lisävalidoinnilla. Kiitos TippingPointin Zero Day Initiative -ohjelman parissa työskentelevälle wushille (team509) ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1787

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä SVG-dokumenttien kelluvia elementtejä oli muistinvioittumisongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parantamalla muistin hallintaa. Kiitos TippingPointin Zero Day Initiative -ohjelman parissa työskentelevälle wushille (team509) ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1788

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä SVG-dokumenttien use-elementtejä oli muistinvioittumisongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parantamalla SVG-dokumenttien use-elementtien käsittelyä. Kiitos Justin Schuhille (Google Inc.) tämän ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1789

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä JavaScriptin merkkijono-objekteja oli kekopuskurin ylivuotoon liittyvä ongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta. Kiitokset: Apple.

  • WebKit

    • CVE-ID: CVE-2010-1790

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä ajonaikaisesti käännettyjä JavaScript-katkelmia oli reentrancy-ongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parantamalla synkronointia.

  • WebKit

    • CVE-ID: CVE-2010-1791

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä JavaScript-taulukkoja oli etumerkkiongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parantamalla JavaScript-taulukkoindeksejä. Kiitokset Natalie Silvanovichille tämän ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1792

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä säännöllisiä lausekkeita oli muistinvioittumisongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parantamalla säännöllisten lausekkeiden käsittelyä. Kiitos Peter Vargalle (University of Szeged) tämän ongelman ilmoittamisesta.

  • WebKit

    • CVE-ID: CVE-2010-1793

    • Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Vista, XP SP2 tai uudempi

    • Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    • Kuvaus: WebKitin tavassa käsitellä SVG-dokumenttien font-face- ja use-elementtejä oli use-after-free-ongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parantamalla SVG-dokumenttien font-face- ja use-elementtien käsittelyä. Kiitokset Aki Helinille (OUSPG) ongelman ilmoittamisesta.

Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.

Julkaisupäivämäärä: